2 ÅR OCH 3 månader - Allmänt

De bästa tipsen för att implementera DORA-förordningen på rätt sätt

Foto: Kompass Advokat (bilderna är beskurna)

• ”Just nu arbetar många finansiella företag med att implementera regelverket om digital operativ motståndskraft”, konstaterar Kawin Mårtensson och Anna Lööv vid Kompass Advokat, som har sammanställt tips för att få implementeringen av regelverket att fungera så smidigt som möjligt.

I januari nästa år träder EU:s förordningen för digital operativ motståndskraft — DORA — i kraft. DORA innebär nya krav på företag i den finansiella sektorn när det gäller it-risker. Kawin Mårtensson och Anna Lööv vid Kompass Advokat ger i en artikel för Sak & Liv tips för att lyckas med implementeringen av det nya regelverket.

Just nu arbetar många finansiella företag med att implementera regelverket om digital operativ motståndskraft.

Här kommer våra bästa tips för att lyckas med arbetet.

Säkerställ att styrelse, VD och ledning förstår arbetet som behöver göras

Att tonen från toppen är viktig vet vi alla. För att genomföra ett implementeringsarbete av den storlek och komplexitet som DORA innebär, måste styrelse, VD och ledning förstå vilket arbete som kommer att krävas.

En bra början är att utbilda denna grupp i vad regelverket innebär. Arbetet måste prioriteras och resurser måste finnas.

DORA-regelverket ställer också mycket tydliga och specifika krav på de individuella styrelseledamöterna, på ett sätt som vi normalt inte ser i sektorslagstiftningen.

Utgå ifrån befintlig organisation, personal och riskhanteringssystem

DORA-regelverket är visserligen nytt i många avseenden, men rent systematiskt inordnas det till stora delar inom ramen för redan befintliga regelverk som gäller för de finansiella företagen. IKT-risker, det vill säga risker relaterade till företagets informations- och kommunikationstillgångar (i dagligt tal it), är en operativ risk som redan ska hanteras av verksamheten.

Inventera vad som redan finns i form av till exempel informationstillgångsregister eller processförteckning, här kan stora delar av kartläggningen över IKT-tillgångar redan finnas. Leverantörsavtal, avtalsregister, incidenter och rapportering är områden inom DORA som ofta redan regleras i befintlig lagstiftning.

Blicka tidigt mot IKT-riskhanteringsorganisationen

Med DORA kommer krav på en utökad organisation med utgångspunkt i tre försvarslinjer inom IKT-risker. Om det är möjligt, ta utgångspunkt i företagets befintliga organisation och bestäm tidigt hur företaget ska organisera sig i enlighet med kraven avseende riskhanteringsorganisation i DORA. Om personer och roller tillsätts tidigt, kan det underlätta implementering och fortsatt förvaltning betydligt.

Projekt för implementering

De flesta företag inser tidigt att det behöver skapas ett särskilt projekt för regelverksimplementeringen. Det här är några punkter för att få projektet att fungera på rätt sätt:

Lägg tid och resurser på att tänka igenom hur projektet ska se ut.
Säkerställ att beslutsmandat och resurser finns.
Projektets medlemmar behöver veta vad som förväntas av dem.
Dela upp projektet i mindre delar och arbetsgrupper på det sätt som passar företaget.
Tänk igenom hur ofta och i vilken omfattning styrelse, VD och ledning ska vara involverad.
Dokumentera beslut och ställningstaganden så underlättas både pågående implementeringsarbete och den fortsatta förvaltningen.

Arbeta över kompetensgränserna

DORA-regelverket handlar om IKT-risker, men för att kunna hantera dessa och implementera regelverket behövs många specialistkompetenser. Förutom personer inom riskhantering och specifikt IKT-riskhantering, behövs kompetenser inom bland annat it och it-säkerhet, juridik, compliance, internrevision, inköp, leverantörsstyrning, outsourcing, kris- och incidenthantering, och i stort sett samtliga operativa delar inom verksamheten som hanterar någon form av informationstillgång.

Konkreta förändringsområden

Det går att konkretisera de områden som kommer att behöva förändras med anledning av DORA på många sätt. Ett sätt är att ta utgångspunkt i regelverkets olika huvudsakliga områden: IKT-riskhantering (inklusive styrning och organisation), IKT-incidenthantering, testning och tredjepartsrisker, det vill säga risker relaterade till IKT-leverantörer. Inom dessa områden finns många delar som kan konkretiseras och preciseras ytterligare; reviderade och nya policys och andra skriftliga dokument, kartläggning och klassificering av IKT-tillgångar och IKT-risker, register över IKT-incidenter, myndighetsrapportering, uppdaterade leverantörsavtal och uppdaterat avtalsregister.

Målgång och överlämning till förvaltning

Säkerställ att det görs en tillräcklig överlämning till fortsatt förvaltning. Det ska finnas ett ägande och en tidsatt åtgärdsplan för kvarvarande risker och frågetecken. Den första tiden i förvaltningen är en övergångsperiod som till stora delar innebär uppföljningsarbete utifrån projektets målgång. Det är även en god idé att planera in kontroller/granskningsaktiviteter av till exempel compliance och internrevison.

Kawin Mårtensson
Anna Lööv
Kompass Advokat

1 552

12 mars, 2024

Försäkringsnyheter i framkant

Måndag 22 Juni 2026

Sök

De bästa tipsen för att implementera DORA-förordningen på rätt sätt

Säkerställ att styrelse, VD och ledning förstår arbetet som behöver göras

Utgå ifrån befintlig organisation, personal och riskhanteringssystem

Blicka tidigt mot IKT-riskhanteringsorganisationen

Projekt för implementering

Arbeta över kompetensgränserna

Konkreta förändringsområden

Målgång och överlämning till förvaltning

Dina nya karriärmöjligheter

Relaterade artiklar

Alecta tecknar nytt flerårigt avtal om it-drift med CGI

Mina Gholiof Roa och Lina Mitt nya partners vid Kompass Advokat

Kawin Mårtensson: Så identifierar du affärsnyttan med nya regelverk

FI: De är kritiska IKT-leverantörer enligt EU:s Dora-förordning

Här är bästa tipsen för att nå framgång med regresskraven

Domen har fallit om bandgrävaren och trafikförsäkringen

Trygg-Hansa varnar företag för AI-drivna cyberbedrägerier

SENASTE NYTT FRÅN SAK & LIV PREMIUM

Tingsrättens dom i tvisten om bandgrävaren

Överenskommelse mellan Ömsen och Begagnade Bildelar i Linköping

Regeringens beslut om behöriga myndigheter enligt EU:s AI-förordning

Skandia köper fastighet i Nacka med äldreboende och förskola

Ömsen betalar 22,7 miljoner kr i förlikning efter företagsbrand

360 Mkr

Så mycket investerar Skandia i finansiering av rent dricksvatten i södra Sverige

De senaste nyheterna

Ad Astra – nytt mentorprogram för ledare inom sakförsäkring

"Lyssna inte till bankernas skräckpropaganda om pension."

Veckans mest lästa

Riksdagen beslutade om gas i pensionssystemet från nästa år

FI blir behörig myndighet för kontroll enligt EU:s AI-förordning

”Förmånstagarförordnanden i digital form bör vara frivilligt”

Hedvigs uthyrningsförsäkring ska ingå i Qasas bostadsuthyrning

Sparare får ytterligare 130 Mkr tillbaka efter Allra-skandalen

Pensionspengar i KPA Pension går till utbildningsinsatser i Egypten

Sak & Liv Premium

Analys

Rättsfall

Lagar och regler

Rapporter

Årsredovisningar

Allmänt

Tingsrättens dom i tvisten om bandgrävaren

Överenskommelse mellan Ömsen och Begagnade Bildelar i Linköping

Regeringens beslut om behöriga myndigheter enligt EU:s AI-förordning

Svensk Försäkrings remissvar om digitala förmånstagarförordnanden

FI:s beslut om anmärkning och sanktionsavgift för Ikano Bank

FI:s beslut om erinran för SSAB

Insuresecs återkallelse av licens (2)

Insuresecs återkallelse av licens (3)

Insuresecs återkallelse av licens (1)

NCC:s stämningsansökan mot Trygg-Hansa efter Oceana-branden

Högsta domstolens dom rörande Birgitte Bonnesen

Tingsrättens dom i pensionshärvan i Västerbotten

Konsumentverkets synpunkter till Folksam om e-postadress

Försäkringsmarknaden för första kvartalet 2026

Trygg-Hansas stämningsansökan mot Folksam

Hovrättsdom i tvist mellan kund och förmedlare

Bravidas stämningsansökan mot Länsförsäkringar AB

Konsumentverkets skrivelse till Eir Försäkring

TESTA PREMIUM I 30 DAGAR UTAN KOSTNAD

TESTA
PREMIUM I 30
DAGAR UTAN
KOSTNAD